EU AI Act er ikke bare en teknisk forordning — den er et tilsynssystem med myndigheder, sanktionskompetencer og klageprocedurer. Fra den 2. august 2026 gælder de centrale forpligtelser for udbydere og brugere af høj-risiko AI-systemer. Fra den 2. december 2027 gælder Annex III-forpligtelserne fuldt ud for alle virksomheder, der anvender AI-systemer i kritiske beslutningsprocesser.
Men hvem fører egentlig tilsyn med, at reglerne overholdes? Og hvem henvender en dansk virksomhed eller en berørt borger sig til — i Danmark eller i Bruxelles?
Svaret er ikke entydigt. EU AI Act etablerer et hierarki af tilsynsmyndigheder, og det nationale billede for Danmark er endnu ikke fuldt afklaret. Denne artikel gennemgår systemet lag for lag: fra EU AI Office øverst til den nationale kompetente myndighed i Danmark, Datatilsynets rolle, og hvad du konkret gør, hvis du vil klage eller blot forstå, hvem der har kompetencen.
Artiklen her i kort form
Art. 70: Den nationale kompetente myndighed
Grundstrukturen i EU AI Acts tilsynssystem er klar: Artikel 70 forpligter hvert EU-medlemsland til at udpege én eller flere nationale kompetente myndigheder (NCA'er). Disse myndigheder har tre overordnede funktioner:
1. Markedsovervågning: Myndigheden overvåger, at AI-systemer, der placeres på markedet eller tages i brug på landets territorium, overholder forordningens krav. Det inkluderer høj-risiko AI-systemer i Annex III — eksempelvis AI til rekruttering, kreditvurdering, kritisk infrastruktur og biometrisk identifikation.
2. Notifikationsmyndighed: Myndigheden akkrediterer og overvåger de såkaldte notified bodies — tredjeparts overensstemmelsesvurderingsorganer, der kan certificere høj-risiko AI-systemer, hvor en ekstern audit er påkrævet.
3. Klagehåndtering og håndhævelse: Myndigheden modtager klager, gennemfører undersøgelser og kan pålægge sanktioner. Det inkluderer bøder på op til 35 millioner euro eller 7 % af den globale årsomsætning for de alvorligste overtrædelser.
Artikel 70, stk. 2 præciserer, at den nationale kompetente myndighed skal have tilstrækkelige ressourcer, teknisk ekspertise og organisatorisk uafhængighed til at udføre sine opgaver. Hvert land kan godt opdele kompetencen på tværs af sektorspecifikke myndigheder — eksempelvis kan sundhedsmyndigheder have tilsynskompetence for AI i medicinske produkter — men der skal altid udpeges én koordinerende enkelt kontaktpunkt over for Kommissionen.
EU AI Office: Det overordnede europæiske niveau
Parallelt med det nationale system etablerer forordningen EU AI Office som en selvstændig enhed under Kommissionen. EU AI Office er ikke en tilsynsmyndighed i klassisk forstand — det håndhæver ikke overfor individuelle borgere i samme form som en national myndighed — men dets kompetencer er på to fronter meget vidtrækkende:
GPAI-modeller (General Purpose AI): EU AI Office har den primære tilsynskompetence for udbydere af generelle AI-modeller med systemisk risiko — herunder de store sprogmodeller fra OpenAI, Google, Meta og tilsvarende aktører (Art. 64-68). Disse modeller er globale produkter, og det giver ikke mening at lade 27 nationale myndigheder håndhæve dem ukoordineret. EU AI Office koordinerer og leder tilsynet.
Tværnationale sager og koordinering: Når en sag involverer AI-systemer, der opererer på tværs af grænserne, koordinerer EU AI Office de nationale myndigheders indsats. Det svarer til den rolle, som EDPB (Det Europæiske Databeskyttelsesråd) spiller under GDPR for grænseoverskridende behandling.
For en dansk virksomhed, der anvender en GPAI-model som fx ChatGPT eller Gemini i sine forretningsprocesser, er det vigtigt at forstå: Hvis du vil klage over selve modellen — dens egenskaber, bias, gennemsigtighed — henvender du dig i praksis til EU AI Office, ikke til en dansk myndighed. Klagen over den specifikke brug af modellen i din virksomhed hører hjemme i det nationale system.
Danmarks situation: Hvem er udpeget?
Her er det nødvendigt at være præcis om, hvad der er afklaret, og hvad der ikke er.
EU AI Act trådte formelt i kraft den 1. august 2024. Fristen for at udpege en national kompetent myndighed er den 2. august 2025 — altså inden de centrale forpligtelser begynder at gælde fra 2. august 2026.
Per maj 2026 har Danmark ikke offentligt bekræftet den endelige organisatoriske model for sit nationale tilsynssystem under EU AI Act i samme detaljegrad, som fx Finland og Sverige har gjort. Det er endnu ikke officielt annonceret, hvilken enkelt myndighed der er udpeget som primært kontaktpunkt og koordinerende NCA.
To institutioner er de mest sandsynlige kandidater eller dele af et samlet tilsynssystem:
Datatilsynet er det mest nærliggende udgangspunkt, fordi mange høj-risiko AI-systemer behandler personoplysninger, og Datatilsynet allerede i dag fører tilsyn med GDPR-overholdelse. Datatilsynet har teknisk ekspertise, uafhængighed og EU-erfaring fra GDPR-håndhævelse. Hvis tilsynet organiseres sektorspecifikt, vil Datatilsynet utvivlsomt have en central rolle for AI-systemer med persondata-dimensioner.
Erhvervsstyrelsen og Erhvervsministeriet er den anden pol. Erhvervsstyrelsen administrerer allerede en lang række EU-markedsordninger og produktsikkerhedslovgivning, og en del af EU AI Acts logik er netop en produktsikkerhedslovgivning. Erhvervsministeriet har også den bredere erhvervspolitiske interesse i at AI-regulering administreres pragmatisk og ikke kvæler innovation.
Det er ikke usandsynligt, at Danmark vælger en model med delt kompetence: Datatilsynet for AI-systemer med persondata, og en anden myndighed — Erhvervsstyrelsen eller et nyoprettet organ — for AI-systemer uden persondata-dimension. Denne model er tilladt under Art. 70, stk. 1.
Hvad du konkret skal gøre nu: Hold øje med Erhvervsministeriets og Datatilsynets hjemmesider for officielle meddelelser. Indtil da er det Datatilsynet, der er det mest relevante kontaktpunkt for dansk AI-tilsynsspørgsmål med persondata-relevans.